In einem kurzen Artikel hat die c’t darauf aufmerksam gemacht, wie unsicher in ihren Augen eigentlich NFC Kredit- oder Girokarten sind. Großspurig wird betitelt: „Mit 29-Euro-Zahlterminal: So leicht kann man Kontaktlos-Karten abfischen„. Doch im letzten Absatz relativiert der Autor seine Behauptung wieder und trägt mit solch einer Überschrift eigentlich nur zur üblichen Panikmache bei.
Die Zahlung mit z.B. einer Karte der Marke Mastercard oder Visa läuft über mehrere Parteien ab: Der Kunde, der Händler, der Issuer (die Bank des Kunden) und der Acquirer (die Bank des Händlers). Unter 25 Euro, bei Visa-Karten teilweise 50 Euro, wird bei einer Zahlung üblicherweise keine Pin-Eingabe verlangt. Dies wurde so konzipiert, um die Zahlung kleiner Beträge zu beschleunigen und um Terminals an Automaten oder in der U-Bahn zu ermöglichen. Hier setzt der Artikel der c’t an: Mit einem geeigneten Terminal könnte der Betrüger ganz einfach Beträge unter 25 Euro von den Opfern abfischen, ohne dass diese das merken.
In dem Artikel wird folgendes Fallbeispiel gewählt: Der Betrüger geht mit seinem SumUp-Terminal, welches mit dem eigenen Smartphone gekoppelt ist, zum Opfer hin, und hält das Terminal unbemerkt an seine Hose. Sofern das Opfer das laute Piepgeräusch zur Bestätigung der Zahlung überhört, wurden bis zu 25 Euro von seiner Karte abgebucht.
Kontaktlos Stehlen? Nicht so einfach, wie es klingt.
Allerdings braucht der Betrüger dafür selbst ein Girokonto, eine Händler-ID, einen Identitätsnachweis sowie eine gültige Adresse. Ungünstige Voraussetzungen, um Schabernack zu betreiben. Zusätzlich dazu behält der Acquirer, also die Bank des Händlers und in diesem Fall des Betrügers, das Geld erstmal einige Zeit ein, um Beanstandungen abzuwarten (der sogenannte Chargeback).
Bemerkt das Opfer also, dass ihm Geld durch unautorisierte Zahlungen gestohlen wurde, erstattet er ganz einfach eine Anzeige und beauftragt bei seiner Bank einen kostenlosen Chargeback. Diese prüft den Fall und reicht diesen Chargeback dann bei dem Acquirer ein, welcher das Geld zurückerstattet. Das funktioniert so übrigens bei jeder nicht selbstverschuldeten Zahlung mit einer Karte von Mastercard, Visa oder AmericanExpress.
Somit ist der Kunde mit einer NFC Karte keinem Risiko ausgesetzt, ist es eine echte Kreditkarte die monatlich beglichen wird, ist zu keinem Zeitpunkt das Geld des Opfers weg. Seltsamerweise gab es in Ländern, in denen NFC-Karten bereits viel früher eingeführt wurden, nie Probleme mit Diebesbanden, die mit 29-Euro-Terminals durch die Straßen zogen, um arglose Passanten zu bestehlen. Da ist es viel lukrativer sich die deutschen Touristen herauszusuchen und deren teuer gewechseltes Bargeld zu stehlen, die Einheimischen haben nämlich meist gar keins mehr dabei, dank NFC-Karten.
Nimmt das Geschreibsel von Heise noch jemand ernst?
Die entdecken ja auch jeden 2. Tag weltweite Sicherheitslücken natürlich nur in Android-Smartphones
(iPhones können so etwa bei Heise ja nicht haben) die nur dann auftreten wenn das Opfer dem Angreifer
das Smartphone schenkt ihm seine PIN verät und der Wehrwolf bei Vollmond dreimal heult.
Also Heise kann man mit ihren Panikmach-Artikeln wirklich nicht mehr ernst nehmen.
Nebenbei am Rande: Die Grenzen von 25,00 € bzw. 50,00 € gibt es offenbar nicht. Ich habe letzte Woche getankt und 60,00 € kontaktlos ohne PIN bezahlt. Der Tankstellenmitarbeiter wunderte sich nicht, „habe aber davon keine Ahnung“. Ich habe am nächsten Tag bei der DKB angerufen und nachgefragt, der Hotlinemitarbeiter sagte, dass das „individuell“ sei. Individuell von der Tankstelle oder Visa, nicht von mir oder meinem Verfügungsrahmen abhängig ist. Bei der DKB sind allerdings 25 bzw. 50 € als Grenze ohne PIN auf der website angegeben. Man kann nur hoffen, dass der Kunde im Falle eines Mißbrauches wirklich vom Schaden… Weiterlesen »
Ich nutze keine Kreditkarte, aber meine EC Karte hat ebenfalls NFC. Ich zahle fast ausschließlich nur noch mit Karte.
Bargeld kann leicht gestohlen werden.
Eine gestohlene Karte kann ich jeder Zeit sperren lassen und auch bereits erfolgte Zahlungen kann ich problemlos wieder zurück buchen (das geht bei mir sogar alleine per Homebanking).
Ich kenne die Zahlweise schon lange aus Russland – Supermarkt, Metro, Uber, etc. – keine Probleme mit Mißbrauch. Auch auf meine anfängliche (typisch deutsche) Nachfrage, ob denn kein Mißbrauch damit betrieben würde oder bekannt sei, wurde das verwundert dementiert. Das Problem ist eben wie an jedem andere Ort der Welt – wenn die Karte aus technischen oder anderen nicht nachvollziehbaren Gründen vom Bezahlterminal nicht akzeptiert wird und man kein Bargeld dabei hat, um alternativ zu zahlen. Man kommt schon ganz schön ins Schwitzen und zieht den Unmut der nachfolgenenden Kunden auf sich. Ist mir mal in Spanien an einer Mautstelle… Weiterlesen »
Das im Moment noch nichts passiert ist liegt daran, das die Zahlmethode einfach noch von zu wenigen Personen genutzt wird. Wenn das der Standard ist, wird sich auch der Diebstahl über diese kleinen Geräte häufen wie der normale Taschendiebstahl.
Die Zahlweise ist in UK beispielsweise schon seit Jahren standard, und dennoch gibt es keine Missbrauchsfälle. Eher werden Kreditkartennummern gestohlen oder gleich die ganze Karte. Aber das gab es auch bereits vor der Einführung von NFC. Nur weil es erst so spät Mode wird in Deutschland, heißt es nicht dass die Technologie neu ist:
Mastercard hat seine erste NFC Karte nämlich bereits 2003 auf den Markt gebracht.
Wieder mal typsich Deutsche Bedenken. Im Ausland wird seit Jahren Bargeldlos mit diesen Funktionen gezahlt, ohne das da grosse Probleme aufgetreten sind. Deutschland ist und bleibt hier ein Entwicklungsland.
Meinst du Nachdenken?
Danke für den sehr aufschlussreichen Artikel. Bin absoluter Fan von NFC-Zahlungen per CC. Da hängt man alle ab was die Zahlgeschwindigkeit an den Kassen angeht und die Kassierer freut es auch noch. Super erklärt.
Keine Bank gibt die tatsächlichen Schadenssummen durch Missbrauch bekannt. Das gilt bei allen Bankgeschäften, auch bei NFC.
„… und trägt mit solch einer Überschrift eigentlich nur zur üblichen Panikmache bei.“. Das kommt mir von irgendwoher bekannt vor. Schön, dass dem Autoren ein solches Vorgehen ein Graul ist. Aber trägt das dazu bei, dass er selbst und seine Kollegen sich nicht gelegentlich der gleichen Mittel bedienen hier im Blog? Microsoft könnte ein Lied davon singen, würde man davon überhaupt etwas mitbekommen. Ich selbst habe auch sowohl eine NFC-fähige Visa Card als auch eine EC Karte und verspüre jedes mal an der Kasse oder am Geldautomaten in der Warteschlange ein Unbehagen deswegen, trotz Chargeback. Was sich im Artikel so… Weiterlesen »